KR100744530B1 - 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 - Google Patents

연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 Download PDF

Info

Publication number
KR100744530B1
KR100744530B1 KR1020030064573A KR20030064573A KR100744530B1 KR 100744530 B1 KR100744530 B1 KR 100744530B1 KR 1020030064573 A KR1020030064573 A KR 1020030064573A KR 20030064573 A KR20030064573 A KR 20030064573A KR 100744530 B1 KR100744530 B1 KR 100744530B1
Authority
KR
South Korea
Prior art keywords
packet
attack
response
watermark
detection
Prior art date
Application number
KR1020030064573A
Other languages
English (en)
Other versions
KR20050028187A (ko
Inventor
최양서
서동일
김환국
이상호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030064573A priority Critical patent/KR100744530B1/ko
Priority to US10/749,744 priority patent/US20050060582A1/en
Publication of KR20050028187A publication Critical patent/KR20050028187A/ko
Application granted granted Critical
Publication of KR100744530B1 publication Critical patent/KR100744530B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

연결 재설정기법을 이용한 연결 역추적 장치 및 그 방법이 개시된다. 패킷차단부는 시스템 공격감지신호를 수신하면, 시스템으로 전송되는 공격패킷 및 공격패킷에 대한 응신으로 시스템으로부터 출력되는 제1응답패킷을 차단한다. 응답패킷생성부는 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 공격패킷의 근원지 주소에 해당하는 시스템으로 전송한다. 경로 역추적부는 제2응답패킷의 전송경로상에 존재하는 시스템으로부터 제2응답패킷의 전송경로정보를 포함하는 탐지패킷을 수신하고, 수신한 탐지패킷을 기초로 제2응답패킷의 전송경로를 역추적하여 공격자시스템의 위치를 파악한다. 본 발명에 따르면, 공격자가 여러 시스템을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 공격자 시스템의 실제 위치를 추적할 수 있으며, 공격받는 시스템의 피해를 최소화 할 수 있다.
공격 패킷, 응답 패킷, 워터마크, 역추적

Description

연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및 그 방법{Apparatus and method for providing a real-time connection traceback using connection redirection technique}
도 1은 종래의 시스템 공격과정의 일 예를 도시한 도면,
도 2는 본 발명에 따른 역추적 장치의 구성을 도시한 블록도,
도 3은 본 발명에 따른 역추적 과정을 본 발명에 따른 역추적 장치의 구성을 중심으로 도시한 도면,
도 4는 본 발명에 따른 역추적 장치를 구비한 네트워크에서 공격자시스템의 역추적과정을 도시한 도면,
도 5는 본 발명에 따른 역추적 방법의 흐름을 도시한 흐름도, 그리고,
도 6은 본 발명에 따른 역추적 장치에서 워터마크 탐지방법의 흐름을 도시한 흐름도이다.
본 발명은 네트워크에서 공격자시스템의 위치를 추적하는 장치에 관한 것으로, 보다 상세하게는, 공격자시스템과의 실시간 연결을 기초로 공격자시스템의 위 치를 추적하는 역추적시스템에 관한 것이다.
연결 역추적(connection traceback) 기술은 해킹을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기술을 의미하는 것으로서, 종래의 연결 역추적 기술에는 크게 IP 패킷 역추적 기술과 TCP 연결 역추적 기술이 있다. IP 패킷 역추적 기술은 IP 주소가 변경된 패킷의 실제 송신지를 추적하는 기술이고, TCP 연결 역추적 기술은 다수의 중간 경유 시스템을 이용하여 해킹을 시도하는 해커의 현재 위치를 추적하는 기술로서 흔히 연결 사슬(Connection Chain) 역추적 기술이라고 불린다.
종래의 역추적 기술은 인터넷상에 존재하는 모든 호스트들에 대해 역추적 모듈을 설치하거나, 네트워크 상에 송수신되는 모든 패킷과 중간 경유 시스템의 연결에 대한 정보를 모두 수집 기록하여야 이용가능하다. 그러나, 인터넷 환경에서 이러한 요건을 모두 충족시키기에는 현실성이 떨어질 뿐만 아니라, 원하는 모든 대상 시스템에 역추적 기능을 설치한다고 하여도 공격자도 경유한 중간 경유 시스템들 중 어느 하나의 시스템에서 여러 원인으로 인해 역추적에 필요한 정보를 얻을 수 없다면 역추적이 불가능한다.
도 1은 종래의 시스템 공격과정의 일 예를 도시한 도면이다.
도 1을 참조하면, 제1네트워크에 속한 공격자(100)가 1차공격을 통해 제2네트워크에 속한 제1피해시스템(110)을 공격하고, 공격을 통해 획득한 제1피해시스템의 특정 권한을 이용하여 최종 공격 목표인 제3네트워크의 제2피해시스템(120)을 공격한다.
중간 경유 시스템(제1피해시스템)(110)은 하나 이상이 존재할 수 있으며, 공 격자로부터 제1피해시스템(110)으로의 접근이 공격에 의한 침입이 아니라 정상적이 방법을 통해 접근한 후 최종 목표인 제2피해시스템(120)을 공격할 수 있다. 이런 경우에, 제2피해시스템(120)은 직접적으로 실제 공격자가 위치한 시스템에 대한 정보를 얻을 수 없으며, 일반적으로 공격자에 대한 정보를 얻기 위해서는 제1피해시스템(110)에 대한 정말한 조사가 필요하다. 따라서, 최종 피해시스템(제2피해시스템)(120)이 다수의 중간 경유 시스템(제1피해시스템)(110)중 어느 하나의 중간 경유 시스템에서 추적에 필요한 정보를 얻을 수 없다면 추적은 더 이상 불가능하다.
본 발명이 이루고자 하는 기술적 과제는, 해커로부터 공격당하는 피해시스템의 피해를 최소화하고, 공격자시스템의 위치를 정확하고 신속하게 역추적하는 연결 역추적시스템 및 그 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 해커로부터 공격당하는 피해시스템의 피해를 최소화하고, 공격자시스템의 위치를 정확하고 신속하게 역추적하는 연결 역추적방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 장치의 일 실시예는, 시스템 공격감지신호를 수신하면, 상기 시스템으로 전송되는 공격패킷 및 상기 공격패킷에 대한 응신으로 상기 시스템으로부터 출력되는 제1응답패킷을 차단하는 패킷차단부; 상기 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷 을 생성하여 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송하는 응답패킷생성부; 및 상기 제2응답패킷의 전송경로상에 존재하는 시스템으로부터 상기 제2응답패킷의 전송경로정보를 포함하는 탐지패킷을 수신하고, 상기 수신한 탐지패킷을 기초로 상기 제2응답패킷의 전송경로를 역추적하여 공격자시스템의 위치를 파악하는 경로 역추적부;를 갖는다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 역추적 방법의 일 실시예는, (a) 시스템 침입신호를 수신하면, 상기 시스템으로 전송되는 공격패킷 및 상기 공격패킷에 대한 응신으로 상기 시스템으로부터 출력되는 제1응답패킷을 차단하는 단계; (b) 상기 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 상기 공격패킷의 근원지 주소로 전송하는 단계; 및 (c) 상기 제2응답패킷의 전송경로상에 존재하는 시스템으로부터 상기 제2응답패킷의 전송경로정보를 포함하는 탐지패킷을 수신하고, 상기 탐지패킷을 기초로 상기 제2응답패킷의 전송경로를 역추적하여 상기 공격자시스템의 위치를 파악하는 단계;를 갖는다.
본 발명에 따르면, 공격자가 여러 시스템을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 공격자 시스템의 실제 위치를 추적할 수 있으며, 공격받는 시스템의 피해를 최소화 할 수 있다.
이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 역추적 장치 및 그 방법에 대하여 상세히 설명한다.
도 2는 본 발명에 따른 역추적 장치의 구성을 도시한 블록도이다.
도 2를 참조하면, 본 발명에 따른 역추적 장치는 공격 탐지부(200), 패킷 차 단부(210), 응답패킷 생성부(220), 경로 역추적부(230) 및 워터마크 탐지부(240)로 구성된다. 패킷차단부(210)는 수신부(212), 패킷 파악부(214) 및 차단부(216)로 구성되며, 워터마크 탐지부(240)는 탐지부(242), 탐지패킷 생성부(244), 패킷 전송부(246)로 구성된다.
공격 탐지부(200)는 외부 공격자에 의한 피해시스템의 공격을 감지한다. 공격 탐지부(200)는 본 발명에 따른 역추적 장치에 포함되어 구성되거나, 별도의 공격 탐지시스템으로 구현될 수 있다. 별도의 공격 탐지 시스템으로 구현하는 경우에는 종래의 공격 탐지시스템을 그대로 이용할 수 있다. 외부 공격자는 정당하지 않는 방법으로 시스템의 특정권한 또는 정보를 획득하기 위하여 피해시스템을 공격하는 자이다.
공격 탐지부(200)는 피해 시스템에 대한 공격을 감지하면, 피해시스템의 공격 경로을 파악한다. 파악된 공격경로의 근원지 및 목적지 IP 주소와 포트번호를 파악하고, 파악된 IP 주소와 포트번호를 공격감지신호에 포함하여 출력한다. 공격자는 일반적으로 중간 경유 시스템을 이용하여 최종 공격 대상 시스템을 공격한다. 따라서, 공격 탐지부(200)에 의해 파악되는 공격 경로는 피해 시스템과 연결된 중간 경유 시스템사이의 경로이다. 따라서 피해 시스템은 직접 공격자의 시스템 위치를 알 수 없다.
공격탐지부(200)는 피해 시스템의 로그파일, 피해시스템과 연결된 네트워크의 로그 파일, 피해 시스템의 특정 시스템 파일의 변경여부 등을 조사하여 상기 외부공격자에 의한 시스템 공격을 감지하고, 상기 시스템의 로그 파일을 기초로 공격 패킷의 근원지 IP 주소 및 포트번호를 파악할 수 있다.
패킷 차단부(210)는 공격 탐지부(200)에 의해 피해시스템의 공격감지신호를 수신하면, 공격패킷 및 응답패킷을 차단한다. 공격패킷은 외부공격자가 피해시스템 공격을 위하여 피해 시스템으로 전송하는 패킷이고, 응답패킷은 공격을 받는 피해 시스템에서 외부공격자로 전송되는 공격패킷에 대한 응신이다. 패킷 차단부(210)에 의해 공격자의 공격패킷과 공격받는 피해시스템의 응답패킷이 차단되므로 본 발명에 따른 역추적 수행중에 피해 시스템은 더 이상 공격자에 의해 피해를 입지 않는다.
패킷 차단부(210)는 구체적으로 수신부(212), 패킷 파악부(214) 및 차단부(216)를 포함하고, 이하에서 패킷 차단부(210)의 각 구성을 중심으로 상세히 설명한다.
수신부(212)는 공격 탐지부(200)로부터 피해시스템의 공격감지신호를 수신한다. 공격감지신호는 공격 경로의 근원지 및 목적지의 IP 주소와 포트번호를 포함한다.
패킷 파악부(214)는 수신부(212)에 의해 수신된 근원지 및 목적지의 IP 주소와 포트번호를 기초로 피해시스템으로 송수신되는 패킷 중 공격패킷 및 공격패킷에 대한 응신인 응답패킷을 파악한다. 예를 들어, 피해 시스템으로 전송되는 패킷의 근원지 및 목적지의 IP 주소와 포트번호가 수신부(212)에 의해 수신된 IP 주소 및 포트번호와 동일하면 이 패킷은 공격패킷이다. 즉, IP 주소를 기초로 공격 경로의 양단을 파악하고 양단 사이에 송수신되는 패킷 중 포트번호를 기초로 공격 패킷 및 응답 패킷을 파악한다.
차단부(216)는 패킷 파악부(214)에 의해 파악된 공격패킷 및 응답패킷을 중간에서 차단하여 더 이상 피해시스템이 공격자에 의해 피해를 입지 않도록 한다.
응답패킷 생성부(220)는 패킷 차단부(210)에 의해 차단된 공격패킷에 대한 응신으로 직접 응답패킷을 생성한다. 응답패킷 생성부는(220) 공격자에 의한 공격패킷을 도중에서 가로채고 응답패킷을 생성하여 전송하므로, 공격자시스템과 피해시스템과의 연결을 공격자시스템과 추적 장치의 연결로 변경하는 연결 재설정기능을 수행한다. 응답패킷 생성부(220)는 응답패킷에 응답패킷의 전송경로를 역추적 할 수 있는 워터마크(watermark)를 삽입한다. 응답패킷 생성부(220)는 워터마크를 삽입한 응답패킷을 공격패킷의 근원지 IP 주소로 전송한다.
응답패킷은 네트워크의 여러 경로를 거쳐 최종적으로 외부공격자의 시스템으로 전달된다. 따라서, 외부공격자가 연결을 유지하는 공격 즉, TCP 연결을 통한 공격을 하는 경우에 공격패킷에 대한 응답패킷은 여러 시스템을 경유하여 공격자 시스템의 실제 위치까지 전송되므로, 소정의 경로추적 데이터를 삽입한 응답패킷을 이용하여 공격자의 실제위치를 역추적할 수 있다.
워터마크(watermark)는 어떤 파일에 관한 저작권 정보(즉 저자 및 권리 등)를 식별할 수 있도록 디지털 이미지나 오디오 및 비디오 파일에 삽입한 비트 패턴을 말한다. 이 용어는 편지지의 제작회사를 나타내기 위해 희미하게 프린트된 투명무늬(이것을 영어로 '워터마크'라고 한다)로부터 유래되었다. 의도적으로 어느 정도까지는 볼 수 있도록 만든 프린트 워터마크와는 달리, 디지털 워터마크는 완전히 안보이게(저작물이 오디오인경우에는 안 들리게) 설계된다. 워터마크를 나타내는 실제 비트들은 그것들이 식별되거나 조작되지 않도록 파일 전체에 걸쳐 퍼져 있다. 워터마크를 보기 위해서는, 워터마크 데이터를 추출하는 방법을 알고 있는 특수한 프로그램이 필요하다.
워터마크 탐지부(240)는 외부로부터 수신한 패킷 속에 워터마크가 포함되어 있는지 탐지한다. 워터마크 탐지부(240)는 워터마크가 포함된 패킷을 탐지하면, 패킷의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 탐지패킷을 생성한다. 그리고, 워터마크 탐지부(240)는 생성한 탐지패킷을 최초로 워터마크를 패킷에 삽입한 시스템으로 전송한다. 최초로 워터마크를 패킷에 삽입한 시스템은 탐지패킷을 수신하고 탐지패킷에 포함된 IP 주소와 포트번호를 기초로 경로를 역추적하여 공격자 시스템의 위치를 파악한다. 워터마크 탐지부(240)는 역추적 장치의 다른 구성요소와 독립적으로 설치되어 운용될 수 있다.
워터마크 탐지부(240)는 구체적으로 탐지부(242), 탐지패킷 생성부(244) 및 패킷전송부(246)로 구성된다.
탐지부(242)는 수신한 패킷에 워터마크가 포한되어 있는지를 탐지한다. 탐지부(242)는 워터마크를 추출할 수 있는 특수한 프로그램을 포함하고 있으며, 이 프로그램에 의해 패킷속에 포함된 워터마크를 탐지된다.
탐지패킷 생성부(244)는 탐지부(242)가 워터마크가 포함된 패킷을 탐지하면 패킷의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 탐지패킷을 생성한다. 탐지패킷은 이 외에 경로추적을 위한 정보를 더 포함할 수 있다.
패킷 전송부(246)는 워터마크를 패킷에 최초로 삽입한 시스템으로 탐지패킷 생성부(244)에 의해 생성된 탐지패킷을 전송한다. 워터마크를 패킷에 최초로 삽입한 시스템의 정보는 패킷속에 포함되어 있다.
경로 역추적부(230)는, 응답패킷 생성부(220)가 생성하여 전송한 응답패킷에 대한 응신으로, 네트워크에 설치된 다른 역추적장치로부터 탐지패킷을 수신한다. 경로 역추적부(230)는 탐지패킷에 포함된 IP 주소와 포트번호를 기초로 공격자 시스템의 실제 위치를 역추적한다. 예들 들어, 경로 역추적부(230)가 근원지 및 목적지 IP 주소가 addr1 및 addr2인 제1탐지패킷, addr2 및 addr3인 제2 탐지패킷을 수신하면, addr1, addr2 및 addr3인 IP 주소들을 순서대로 추적하여 응답패킷의 최종전달위치를 역추적할 수 있다.
도 3은 본 발명에 따른 역추적 과정을 본 발명에 따른 역추적 장치의 구성을 중심으로 도시한 도면이다.
도 3을 참조하면, 피해시스템(300)과 외부공격자가 속한 네트워크 사이에 역추적장치가 설치되어 있다. 역추적 장치는 공격 탐지부(310), 패킷 차단부(320), 응답패킷 생성부(330), 경로 역추적부(340) 및 워터마크 탐지부(350)로 구성된다.
공격 탐지부(310), 패킷 차단부(320), 응답패킷 생성부(330), 경로 역추적부(340) 및 워터마크 탐지부(350)의 구성과 기능은 도 2에서 설명한 것과 동일하므로 상세한 설명은 생략한다. 여기서는 연결 역추적방법의 전반적인 흐름을 위주로 살펴본다.
외부공격자에 의해 피해 시스템으로의 공격이 발생하면(S300), 공격 탐지부(310)는 피해 시스템으로의 공격을 감지한다(S305). 패킷 차단부(320)는 공격감지부(310)로부터 공격감지신호를 수신하면 공격패킷 및 응답패킷을 차단하고(S310), 수신되는 공격패킷을 응답패킷생성부(330)로 전송한다(S315). 이로써, 외부공격자는 공격에 대한 연결이 계속 유지되는 것으로 인지하고, 역추적 장치는 계속 유지되는 연결을 통하여 외부공격자의 시스템 위치를 역추적한다.
패킷 차단부(320)에 의해 공격패킷의 연결 방향이 재설정되어 공격패킷이 응답패킷 생성부(330)로 전송되면(S315), 응답패킷 생성부(330)는 공격패킷에 대한 응신으로 워터마크를 삽입한 응답패킷을 생성한다(S320). 생성된 응답패킷은 네트워크의 여러 시스템을 경유하여 최종적으로 공격자시스템으로 전송된다(S325).
경로역추적부(340)는 응답패킷을 감지한 외부시스템으로부터 전송된 탐지패킷을 기초로 응답패킷의 경로를 역추적하여 공격자시스템의 위치를 파악한다(S330). 워터마크탐지부(350)는 수신한 패킷에 워터마크가 포함되어 있다면 최초로 워터마크를 패킷에 삽입한 시스템으로 탐지패킷을 생성하여 전송한다(S335).
도 4는 본 발명에 따른 역추적 장치를 구비한 네트워크에서 공격자시스템의 역추적과정을 도시한 도면이다.
도 4를 참조하면, 네트워크에는 공격자 시스템(400)이 속한 제1네크워크, 제1피해시스템(410)이 속한 제2네트워크 및 제2피해시스템(420)이 속한 제3네트워크가 있다. 각 네트워크는 본 발명에 따른 역추적 장치(430,440,450)를 포함하고 있다.
공격자는 제2네트워크의 제1피해시스템(410)을 경유하여 최종적으로 제3네트워크의 제2피해시스템(420)을 공격한다. 공격자는 제1피해시스템(410)을 공격하여 접속하거나, 정상적인 방법으로 제1피해시스템(410)에 접속할 수 있다.
제2피해시스템(420)이 공격자에 의해 공격을 받으면, 제3역추적 장치(450)는 제2피해시스템(420)으로부터 출력되는 응답패킷을 차단하고, 자체적으로 워터마크를 포함한 응답패킷을 생성하여 전송한다. 워터마크를 포함한 응답패킷은 제1피해시스템(410)을 경유하여 공격자시스템으로 전달된다.
워터마크를 포함한 응답패킷을 수신한 제2역추적 장치(440)는 응답패킷의 IP 주소와 포트번호를 포함한 탐지패킷을 생성하고, 이를 제3역추적 장치(450)로 전송한다.
워터마크를 포함한 응답패킷은 제2역추적 장치(440)를 경유하여 제1역추적장치(430)로 전송된다. 워터마크를 포함한 응답패킷을 수신한 제1역추적 장치(430)는 탐지패킷을 생성하고, 생성한 탐지패킷을 제3역추적 장치(450)로 전송한다.
제3역추적 장치(450)는 제1역추적 장치(440) 및 제2역추적 장치(430)로부터 패킷의 근원지 및 목적지의 IP 주소와 포트번호를 포함하는 탐지패킷을 수신한다. 제3역추적 장치(450)는 수신한 두개의 탐지패킷의 IP 주소 및 포트번호를 기초로 응답패킷의 전송경로를 역추적하여 최종적으로 응답패킷이 전달된 시스템의 IP 주소를 파악할 수 있다. 이로써, 공격자시스템의 위치를 역추적할 수 있다.
도 5는 본 발명에 따른 역추적 방법의 흐름을 도시한 흐름도이다.
도 5를 참조하면, 공격 탐지부(200)는 외부공격자에 의한 시스템의 공격을 감지하고, 공격 경로의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 공격감지신호를 출력한다(S500). 공격탐지부(200)는 종래의 공격감지시스템을 사용할 수 있으며, 본 발명에 따른 역추적 장치에 포함되어 구현되거나, 독립적으로 구현될 수 있다.
패킷차단부(210)는 공격감지신호를 수신하면, 시스템으로 전송되는 공격패킷 및 공격패킷에 대한 응신으로 시스템으로부터 출력되는 응답패킷을 차단한다(S510). 공격패킷 및 응답패킷은 공격 경로의 IP 주소 및 포트번호를 기초로 파악된다.
응답패킷 생성부(220)는 공격패킷에 대한 응신으로 워터마크를 삽입한 응답패킷을 생성하여 공격자 시스템으로 전송한다(S520). 워터마크를 삽입한 응답패킷은 일반적으로 여러 시스템을 경유하여 공격자 시스템에 전송된다.
경로 역추적부(230)는 외부 시스템으로부터 하나이상의 워터마크 탐지패킷을 수신하고(S530), 수신한 탐지패킷에 포함된 IP 주소 및 포트번호를 기초로 응답패킷의 전송경로를 역추적하여 공격자시스템의 실제 위치를 파악한다(S540).
도 6은 본 발명에 따른 역추적 시스템에서 워터마크를 포함하는 응답패킷을 탐지하는 방법의 흐름을 도시한 도면이다.
도 6을 참조하면, 역추적 시스템은 외부시스템으로부터 패킷을 수신한다(S600). 워터마크 탐지부(240)는 워터마크를 추출할 수 있는 특별한 프로그램을 포함하고 있으며, 이 프로그램을 이용하여 수신한 패킷에 워터마크가 포함되어 있는지 파악한다(S610).
패킷에 워터마크가 포함되어 있다면(S610), 워터마크 탐지부(240)는 수신한 패킷의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 탐지패킷을 생성한다(S620). 워터마크 탐지부(240)는 패킷에 워터마크를 최초로 삽입한 시스템으로 생성한 탐지패킷을 전송한다(S630).
워터마크를 최초로 삽입한 시스템은 네트워크의 시스템들로부터 탐지패킷을 수신하면 탐지패킷에 포함된 IP 주소와 포트번호를 기초로 경로를 역추적하여 공격자시스템의 위치를 파악한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상의 설명은 바람직한 실시예를 설명한 것에 불과한 것으로서, 본 발명은 상술한 실시예에 한정되지 아니하며 첨부한 특허청구범위 내에서 다양하게 변경 가능하다. 예를 들어 본 발명의 실시예에 구체적으로 나타난 각 구성요소의 형상 및 구조는 변형하여 실시 할 수 있다.
본 발명에 따르면, 공격자가 여러 시스템을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 공격자 시스템의 실제 위치를 추적할 수 있다. 공격자에 의한 특정 시스템의 공격을 감지하면 공격패킷 및 응답패킷을 차단하므로 공격자에 의한 시스템의 피해를 최소화하면서 공격자의 위치 추적을 할 수 있다.
종래의 역추적 시스템이 여러 중간 경유 시스템 중 어느 하나로부터 필요한 정보를 수집하지 못하면 추적을 할 수 없는데 반해, 본 발명에 따른 역추적 시스템은 여러 중간 경유 시스템 중 어느 하나로부터 필요한 정보를 얻지 못한 경우에도 공격자시스템의 위치 추적이 가능하다.

Claims (14)

  1. 시스템 공격감지신호를 수신하면, 상기 시스템으로 전송되는 공격패킷 및 상기 공격패킷에 대한 응신으로 상기 시스템으로부터 출력되는 제1응답패킷을 차단하는 패킷차단부;
    상기 공격패킷을 가로채어 상기 공격패킷과의 연결 경로를 재설정한 후, 상기 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 네트워크상의 소정 시스템들을 경유하여 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송하는 응답패킷생성부; 및
    상기 제2응답패킷이 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송되는 경로 상에 위치한 시스템들에 의해 상기 제2응답패킷의 워터마크가 탐지된 경우, 상기 전송 경로 상에 위치한 시스템들로부터 상기 제2응답패킷이 탐지되었다는 탐지패킷을 수신하고, 상기 수신한 탐지패킷을 기초로 상기 제2응답패킷의 전송경로를 역추적하여 공격자 시스템의 위치를 파악하는 경로 역추적부;를 포함하는 것을 특징으로 하는 연결 역추적 장치.
  2. 제 1항에 있어서,
    외부공격자에 의한 시스템 공격을 감지하면, 상기 공격 경로의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 공격감지신호를 출력하는 공격탐지부를 더 포함하는 것을 특징으로 하는 연결 역추적 장치.
  3. 삭제
  4. 제 2항에 있어서,
    상기 패킷차단부는,
    상기 공격감지신호를 수신하는 신호수신부;
    상기 IP 주소 및 상기 포트번호를 기초로 상기 공격 패킷 및 상기 제1응답패킷을 파악하는 패킷파악부; 및
    상기 공격패킷 및 상기 제1응답패킷을 차단하는 차단부;를 포함하는 것을 특징으로 하는 연결 역추적 장치.
  5. 제 1항에 있어서,
    외부네트워크로부터 워터마크를 포함하는 패킷을 수신하면 상기 워터마크를 삽입한 외부네트워트의 시스템으로 상기 수신한 패킷의 경로정보를 포함하는 탐지패킷을 전송하는 워터마크탐지부를 더 포함하는 것을 특징으로 하는 연결 역추적 장치.
  6. 제 5항에 있어서,
    상기 워터마크 탐지부는,
    외부로부터 수신한 패킷에 포함된 워터마크를 탐지하는 탐지부;
    상기 워터마크를 탐지하면 상기 수신한 패킷의 근원지 및 목적지 IP 주소 및 포트번호를 포함하는 탐지패킷을 생성하는 탐지패킷생성부; 및
    상기 패킷에 상기 워터마크를 최초로 삽입한 시스템으로 상기 생성된 탐지패킷을 전송하는 패킷전송부;를 포함하는 것을 특징으로 하는 연결 역추적 장치.
  7. 제 1항에 있어서,
    상기 경로 역추적부는,
    상기 수신한 하나이상의 탐지패킷에 포함된 근원지 및 목적지 IP 주소 및 포트번호를 기초로 공격자시스템의 위치를 역추적하는 것을 특징으로 하는 연결 역추적 장치.
  8. (a) 시스템 침입신호를 수신하면, 상기 시스템으로 전송되는 공격패킷 및 상기 공격패킷에 대한 응신으로 상기 시스템으로부터 출력되는 제1응답패킷을 차단하는 단계;
    (b) 상기 공격패킷을 가로채어 상기 공격패킷과의 연결 경로를 재설정한 후, 상기 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 네트워크상의 소정 시스템들을 경유하여 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송하는 단계; 및
    (c) 상기 제2응답패킷이 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송되는 경로상에 위치한 시스템들에 의해 상기 제2응답패킷의 워터마크가 탐지된 경우, 상기 전송 경로 상에 위치한 시스템들로부터 상기 제2응답패킷이 탐지되었다는 탐지패킷들을 수신하고, 상기 수신한 탐지패킷을 기초로 상기 제2응답패킷의 전송경로를 역추적하여 공격자 시스템의 위치를 파악하는 단계;를 포함하는 것을 특징으로 하는 연결 역추적 방법.
  9. 제 8항에 있어서,
    (d) 외부공격자에 의한 시스템의 공격을 감지하면, 상기 공격 경로의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 공격감지신호를 출력하는 단계를 상기 (a) 단계 전에 포함하는 것을 특징으로 하는 연결 역추적 방법.
  10. 제 9항에 있어서,
    상기 (a) 단계는,
    (a1) 상기 공격감지신호를 수신하는 단계;
    (a2) 상기 IP 주소 및 포트번호를 기초로 상기 공격 패킷 및 상기 제1응답패킷을 파악하는 단계; 및
    (a3) 상기 공격패킷 및 상기 제1응답패킷을 차단하는 단계;를 포함하는 것을 특징으로 하는 연결 역추적 방법.
  11. 제 8항에 있어서,
    (e) 외부네트워크로부터 워터마크를 포함하는 패킷을 수신하면 상기 워터마크를 삽입한 외부네터워크의 시스템으로 소정의 탐지패킷을 전송하는 단계를 더 포함하는 것을 특징으로 하는 연결 역추적 방법.
  12. 제 11항에 있어서,
    상기 (e) 단계는,
    (e1) 수신한 패킷에 포함된 워터마크를 탐지하는 단계;
    (e2) 상기 워터마크를 탐지하면 상기 수신한 패킷의 근원지 및 목적지 IP 주소와 포트번호를 포함하는 탐지패킷을 생성하는 단계; 및
    (e3) 상기 패킷에 상기 워터마크를 최초로 삽입한 외부시스템으로 상기 생성된 탐지패킷을 전송하는 단계;를 포함하는 것을 특징으로 하는 연결 역추적 방법.
  13. 제 8항에 있어서,
    상기 (c) 단계는,
    상기 수신한 하나이상의 탐지패킷에 포함된 근원지 및 목적지 IP 주소 및 포트번호를 기초로 공격자시스템의 위치를 역추적하는 단계를 포함하는 것을 특징으 로 하는 연결 역추적 방법.
  14. (a) 시스템 침입신호를 수신하면, 상기 시스템으로 전송되는 공격패킷 및 상기 공격패킷에 대한 응신으로 상기 시스템으로부터 출력되는 제1응답패킷을 차단하는 단계;
    (b) 상기 공격패킷을 가로채어 상기 공격패킷과의 연결 경로를 재설정한 후, 상기 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 네트워크상의 소정 시스템들을 경유하여 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송하는 단계; 및
    (c) 상기 제2응답패킷이 상기 공격패킷의 근원지 주소에 해당하는 시스템으로 전송되는 경로상에 위치한 시스템들에 의해 상기 제2응답패킷의 워터마크가 탐지된 경우, 상기 전송 경로 상에 위치한 시스템들로부터 상기 제2응답패킷이 탐지되었다는 탐지패킷들을 수신하고, 상기 수신한 탐지패킷을 기초로 상기 제2응답패킷의 전송경로를 역추적하여 공격자 시스템의 위치를 파악하는 단계;를 포함하는 것을 특징으로 하는 연결 역추적 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020030064573A 2003-09-17 2003-09-17 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 KR100744530B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030064573A KR100744530B1 (ko) 2003-09-17 2003-09-17 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법
US10/749,744 US20050060582A1 (en) 2003-09-17 2003-12-30 Apparatus and method for providing real-time traceback connection using connection redirection technique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030064573A KR100744530B1 (ko) 2003-09-17 2003-09-17 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법

Publications (2)

Publication Number Publication Date
KR20050028187A KR20050028187A (ko) 2005-03-22
KR100744530B1 true KR100744530B1 (ko) 2007-08-01

Family

ID=34270765

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030064573A KR100744530B1 (ko) 2003-09-17 2003-09-17 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법

Country Status (2)

Country Link
US (1) US20050060582A1 (ko)
KR (1) KR100744530B1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020016855A1 (en) * 2000-03-20 2002-02-07 Garrett John W. Managed access point for service selection in a shared access network
US7467227B1 (en) * 2002-12-31 2008-12-16 At&T Corp. System using policy filter decision to map data traffic to virtual networks for forwarding the traffic in a regional access network
KR100770354B1 (ko) * 2006-08-03 2007-10-26 경희대학교 산학협력단 IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법
KR100862321B1 (ko) * 2006-10-20 2008-10-13 전덕조 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
US8484733B2 (en) 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US7990947B2 (en) 2007-06-12 2011-08-02 Robert W. Twitchell, Jr. Network watermark
WO2009008052A1 (ja) * 2007-07-09 2009-01-15 Fujitsu Limited 中継装置および中継方法
US8009559B1 (en) * 2008-08-28 2011-08-30 Juniper Networks, Inc. Global flow tracking system
FR2956542B1 (fr) * 2010-02-17 2012-07-27 Alcatel Lucent Filtre d'une attaque de deni de service
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
US8756697B2 (en) * 2011-03-30 2014-06-17 Trustwave Holdings, Inc. Systems and methods for determining vulnerability to session stealing
US9060019B2 (en) * 2013-02-25 2015-06-16 Quantum RDL, Inc. Out-of band IP traceback using IP packets
CN105160245B (zh) * 2014-06-11 2019-01-08 腾讯科技(深圳)有限公司 操作事件的检查方法和装置
CN110764969A (zh) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 网络攻击溯源方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003021339A (ja) * 2001-07-09 2003-01-24 Rinnai Corp 赤外線通信装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network
JP2001275115A (ja) * 2000-03-23 2001-10-05 Nec Corp 電子すかしデータ挿入装置および検出装置
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003021339A (ja) * 2001-07-09 2003-01-24 Rinnai Corp 赤外線通信装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Wang, D. Reeves, S. F. Wu, and J. Yuill, "Sleepy Watermark Tracing: An Active Network- Based Intrusion Response Framework", Proceedings ofIFIP Conference. on Security, Mar. 2001
공개특허 제2003-21339호

Also Published As

Publication number Publication date
US20050060582A1 (en) 2005-03-17
KR20050028187A (ko) 2005-03-22

Similar Documents

Publication Publication Date Title
KR100744530B1 (ko) 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법
KR100426317B1 (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
US7047413B2 (en) Collusion-resistant watermarking and fingerprinting
EP1723771B1 (en) Centrally controlled distributed marking of content
US20120272327A1 (en) Watermarking method and apparatus for tracking hacked content and method and apparatus for blocking hacking of content using the same
EP1187478B1 (en) Audio/visual reproduction apparatus and method with equipment identification code insertion
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
KR20020026373A (ko) 다중 제어 시나리오하에서의 완전한 데이터 세트의 존재확인
CN105429940B (zh) 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法
CN105072083A (zh) 一种基于网络流水印的网络主动追踪方法及系统
CN113452717B (zh) 通信软件安全防护的方法、装置、电子设备及存储介质
US20060257001A1 (en) Methods and apparatus for tamper detection in watermarking systems
Subbulakshmi et al. Attack source identification at router level in real time using marking algorithm deployed in programmable routers
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
US6988201B1 (en) Method and apparatus for watermarking wavetable synthesis architectures
KR100564750B1 (ko) Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
KR100523980B1 (ko) 연결 공격을 역추적하기 위한 응답 패킷 워터마크 생성/삽입 장치 및 방법
JP2005101854A (ja) パケット追跡装置、パケット追跡システム、パケット追跡方法およびパケット追跡プログラム
KR20040039552A (ko) 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
JP4253215B2 (ja) 不正アクセス対処ルール生成方法、不正アクセス対処ルール生成装置、不正アクセス対処ルール生成プログラム及びそのプログラムを記録した記録媒体
KR20060057920A (ko) 핑거 프린팅 코드 구조 및 이를 이용한 공모 구매자 식별방법
JP2004363913A (ja) 通信経路解析装置および方法
JP3692902B2 (ja) 透かし情報埋め込み装置、透かし情報埋め込み方法、透かし情報読み出し装置及び透かし情報読み出し方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20060203

Effective date: 20070529

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20100701

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee